Crise sanitaire et crise de confiance  : un rappel que la protection des données doit être une priorité

 |   |  1043  mots
(Crédits : DR)
L'année 2020 restera à tout jamais l'année de COVID19. L'espace médiatique de toutes les presses est occupé par cette crise sanitaire et économique. Même si l'application StopCovid a replacé un coup de projecteur sur la protection des données personnelles, la date d'anniversaire des 2 ans de l'entrée en application du RGPD est passée logiquement inaperçue le 25 mai 2020. Par Maria Dimca et Nosing Doeuk (*)

2 ans c'est à peu près la durée moyenne que nous constatons nécessaire à une grande entreprise pour se mettre sur le chemin de la conformité et surtout pour ancrer durablement une culture de la protection des données. Dans ce climat de méfiance, possiblement de défiance, faisons le point sur la mise en conformité des entreprises au RGPD 2 ans après.

La protection des données : un défi organisationnel

Depuis l'entrée en vigueur du RGPD, des acteurs clé tels que le DPO (DPD en français pour Délégué à la Protection des Données) ont dans la plupart des cas bien été nommés dans les entreprises, et une prise de conscience de l'importance de la protection des données s'installe peu à peu au sein des entreprises. Toutefois, l'investissement global tant financier qu'humain, consacré à la sécurité des systèmes numériques reste trop faible face au retard accumulé des entreprises et aux enjeux.

Les organisations et les habitudes de travail peinent à changer pour adopter le « privacy and security by design ». Si les actions de communication et de sensibilisation sont généralement bien lancées, celles-ci sont à compléter par une meilleure appropriation des actions de mise en conformité au sein de toutes les directions. En effet, dans de nombreuses entreprises, la protection des données personnelles est encore à date souvent perçue comme étant exclusivement portée par le DPO alors qu'il devrait être l'affaire de tous.

La gestion de la protection des données ne peut s'effectuer en silo, une organisation transverse est à déployer.

 « La méfiance est mère de la sûreté » Jean de La Fontaine

Les contrôles de la CNIL, au nombre de 300 par an, contribuent à sensibiliser les entreprises à la nécessité d'accentuer leurs efforts de mise en conformité. La peur du gendarme est efficace car elle entraine une réponse des entreprises. Toutefois cette réponse reste encore superficielle. La CNIL a annoncé qu'elle effectuerait des contrôles accrus sur la conformité des sites internet, notamment sur les cookies et nous avons bien constaté une évolution sur les sites internet, mais de nombreux sites imposent encore l'acceptation des cookies, sans réellement consentement.

Au-delà de ces contrôles, le RGPD a par nature pour objectif de fournir aux personnes un niveau de contrôle sur l'utilisation qui est faite de leurs données et d'exiger des mesures qui permettraient aux usagers de regagner leur confiance dans la protection de leurs données. Le contexte de crise place le sujet de la protection des données au cœur des débats : d'une part, de la mise en œuvre de téléconsultations médicales à la télésurveillance d'examens, le Covid-19 a transformé le quotidien des personnes ; par ailleurs, l'application StopCovid a suscité vives craintes vis-à-vis de la protection de la vie privée, malgré les délibérations de la CNIL. Si la CNIL indique que sous certaines conditions, StopCovid peut bien être mis en œuvre, elle souligne néanmoins le risque que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d'accoutumance propre à dégrader le niveau de protection de la vie privée ».

Cette nécessité de vigilance accrue dans ce contexte de crise est une occasion pour les entreprises de repenser leur mode d'organisation de la protection des données à long terme.

La conformité au RGPD, un enjeu stratégique

Toute crise est marquée par des évolutions imprévisibles. Celle-ci implique que les entreprises doivent faire preuve d'une rapide adaptabilité face à ce contexte mouvant. Ainsi, le Covid-19 a mené de nombreuses entreprises à mettre la transformation digitale au cœur de leur stratégie.

D'un point de vue extérieur à l'entreprise, le Covid-19 contribue à renforcer la vigilance des personnes au sujet de la protection des données. Toute entreprise a ainsi tout intérêt à mettre en avant sa maîtrise des mesures de protection.

L'organisation interne de l'entreprise a néanmoins également un rôle clé à jouer pour permettre cette adaptabilité. En effet, l'exigence de rapidité dans ce contexte de crise implique qu'un fonctionnement en silo sera d'autant plus une barrière qu'en situation normale. Une entreprise a tout avantage à avoir une organisation où la protection des données est bien intégrée dès la conception, et est maîtrisée tout le long du cycle de vie de la donnée de façon transverse. En l'absence de ressources complémentaires au DPO en mesure de veiller au respect du RGPD au sein des directions, l'entreprise fera face à deux risques : soit un risque stratégique et économique (lenteur d'adaptation), soit un risque règlementaire pouvant porter défaut à leur image (adaptation rapide au contexte de crise, mais ne respectant pas la protection de la vie privée).

Cette crise sanitaire est l'occasion pour les organismes d'accroître leur vigilance sur leur mode prise en compte du RGPD. Dans ce contexte où d'une part, des données de santé sont traitées de façon accrue, d'autre part les entreprises sont contraintes à faire preuve de flexibilité et d'adaptabilité, le moment est opportun pour résoudre les problèmes organisationnels associés à la prise en compte du RGPD.

Nos données personnelles disséminées dans tous les systèmes informatiques caractérisent notre existence dans le monde numérique. Le RGPD est salutaire pour la protection de notre moi numérique. Son entrée en application il y a 2 ans, a permis une prise de conscience globale et le démarrage de lourds travaux de mise en conformité dans les entreprises. Le chemin reste long car certaines sont au milieu du gué et la majorité doivent accélérer leurs actions. 2020 et 2021 seront également des années où il sera nécessaire de penser le monde d'après. Le monde de l'après cookies, de la confiance numérique, de la stratégie client360, de la smart data ... un monde où la protection des données d'une entreprise est prise en compte dès la conception.

--

(*) : Maria DIMCA, Consultante senior chez mc2i et Nosing DOEUK Directeur de l'offre Innovations et Technologies chez mc2i

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 04/06/2020 à 15:02 :
Si j'ai voté pour le parti pirate aux européennes ce n'est pas (seulement) parce qu'ils étaient tous trop mignons mais c'est d'abord pour leur volonté d'exiger que nos données nous appartiennent et que l'on puisse en faire ce que l'on veut. C'est un sujet d'une incroyable modernité totalement méprisé par tous les autres mais surtout parce que campés au 20 ème siècle ! Quelle preuve d'ailleurs !

LÀ nous sommes dans une situation d'une hypocrisie hallucinante à savoir nos données se revendent sous le manteau générant des affaires de plusieurs centaines de milliards de dollars alors que l'on nous dit en même temps qu'il faut protéger nos données mais qui et pourquoi au final ?

Pour que les marchés financiers se réservent l'essentiel de leurs rentes ? On dirait bien oui puisque nous protéger n'a aucun sens étant donné que les données sur internet ne seront jamais sécurisées, là aussi c'est d'une incroyable hypocrisie, les gens croient encore qu'il y aurait des gardes pour se mettre en travers de la cupidité de la classe politico-affairiste !

Ce problème porté par le seul parti pirate est d'une incroyable importance en notre troisième millénaire à l'ère d'internet puisque si ces données nous appartenaient réellement et effectivement à 100%, les multinationales seraient très embêtées pour se les revendre entre elles sans notre accord mais mieux on pourrait se faire du fric avec comme Mark Zuckerberg l'a proposé tandis que tous les médias l'ont insulté pour cette pourtant si bonne idée.

Un sujet qui devrait être prioritaire tellement de phénomènes de notre époque contemporaines en dépendent et mettant tellement bien les intentions des uns et des autres en perspective. At el point que je commence même à me demander s'ils ne le font pas exprès tous de l'ignorer. Encore une fois bravo au Parti Pirate pour cette magistrale idée méprisée par tous les médias de masse. Pourquoi ?
a écrit le 02/06/2020 à 18:47 :
Conclusion après lecture : mais oui bien sûr ! Et moi je vais épouser Donald Trump (ici se cache une référence cinématographique, saurez vous la retrouver ?)

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :